[JP] Are You Really Getting the Benefits of Unified Logs?

SANS Asia Pacific DFIR Summit 2023
Are You Really Getting the Benefits of Unified Logs?
講演者: 小林稔

Unified LogsはmacOS 10.12で新しいロギングシステムとして導入され、様々な情報が記録されています。例えば、macOS 11以降では「log show --info --predicate 'eventMessage beginswith "LAUNCH: 0x"'」のようなコマンドを実行すると、アプリケーションバンドル実行のログを抽出できます。macOSはWindowsのPrefetchファイルのようなフォレンジックアーティファクトがないため、このような情報は非常に有用です。Unified Logsはバイナリフォーマットですが、logコマンドのほか、商用フォレンジック製品やオープンソースソフトウェアを使って可読文字列として抽出することができます。しかし、上記のような具体的な解析方法に関する情報は意外に少なく、インターネット上であってもほとんど見かけることはありません。この講演では、Unified Logsの概要とアーティファクトの取得方法、それらをパースするツールを紹介します。また、Unified Logsの様々な解析方法を解説し、解析の自動化にも触れます。さらに、Unified Logsの管理方法についても共有します。Windowsのイベントログとは異なり、Unified Logsはログのエントリー数の上限が固定されています。つまり、不必要なログが多く記録されると、重要なログが消えてしまう可能性が高くなるため、これを低減する方法について解説します。

#APACDFIRSummit #Cybersecurity #DFIR

asia asia pacific benefits cybersecurity dfir info launch log logs macos pacific sans summit